국내 유명 출판사 IT수험서 커뮤니티 카페 ‘시XXIT’와 길벗독자를 위한 시나공 e러닝 동영상 강의 ‘e러닝 시XX 이리더’ 사이트에 대해 아이디, 패스워드 평문전송과 심각한 URL 매개변수 취약점이 발견됐다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 모 보안기업 육운수 씨는 “매개변수 취약점은 로그인을 하지 않아도 타인의 글을 수정하거나 삭제할 수 있으며 공지사항에 관리자로 사칭해 파일 업로드가 가능해 악성코드 배포 등 보안위험성이 커 제보하게 됐다”고 밝혔다.

 
또 “사이트 두 곳 모두 ID와 PW가 암호화가 아닌 평문으로 그대로 노출되고 있어 노출 위험성이 크다”고 설명했다.
 
특히 매개변수 취약점을 악용하면 사용자 이름, 이메일 등이 그대로 노출될 수 있고 비밀번호도 공격자가 임의로 변경할 수 있어 사용자 피해가 예상된다. 또 게시글을 관리자 권한으로 수정이나 삭제도 가능하고 악의적인 파일 업로드도 가능해 사이트 접속자들에게 보안 피해를 줄 수 있어 신속한 보안조치가 필요한 상황이다.
 
제보자는 “취약점 해결방안은 URL의 매개변수 파라미터 값을 임의로 바꿀 수 있는 웹 취약점을 제거하고 https 적용을 통한 암호화 통신 구현, 게시물은 작성자만 수정할 수 있도록 권한 설정이 필요하다”고 권고했다.

데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com